Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте!
Поймал вирус-шифровальщик, наверняка через rdp. Прошу помощи в расшифровке файлов!

 

Изменено пользователем Sampti
Опубликовано (изменено)

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\rdp\downloads\e5m99s_payload.exe');
 StopService('KProcessHacker3');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Info.hta', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '');
 QuarantineFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '');
 QuarantineFile('c:\users\rdp\downloads\e5m99s_payload.exe', '');
 QuarantineFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '');
 QuarantineFile('C:\Windows\System32\E5M99S_payload.exe', '');
 QuarantineFile('C:\Windows\System32\Info.hta', '');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 DeleteFile('C:\Users\rdp\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta', '64');
 DeleteFile('c:\users\rdp\downloads\e5m99s_payload.exe', '32');
 DeleteFile('C:\Users\rdp\Downloads\processhacker-2.39-bin\x64\kprocesshacker.sys', '64');
 DeleteFile('C:\Windows\System32\E5M99S_payload.exe', '64');
 DeleteFile('C:\Windows\System32\Info.hta', '64');
 DeleteService('KProcessHacker3');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Users\rdp\AppData\Roaming\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'C:\Windows\System32\Info.hta', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'E5M99S_payload.exe', 'x64');
 DeleteFile('C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\E5M99S_payload.exe', '64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.

 

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KL-).

 

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

Изменено пользователем Sandor
  • Спасибо (+1) 1
  • Согласен 1
Опубликовано

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Опубликовано

 

KLAN-10985726291

Сам ответ (словами) тоже сообщите, пожалуйста.

 

Далее:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы и ссылки были проверены в автоматическом режиме В следующих файлах обнаружен вредоносный код: E5M99S_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_0.exe - Trojan-Ransom.Win32.Crusis.to e5m99s_payload.exe - Trojan-Ransom.Win32.Crusis.to E5M99S_payload_1.exe - Trojan-Ransom.Win32.Crusis.to В антивирусных базах информация по присланным вами файлам отсутствует: Info.hta Info_0.hta Info_1.hta Info_2.hta В антивирусных базах информация по присланным вами ссылкам отсутствует: hxxps://forum[.]kasperskyclub[.]ru/index.php?showtopic=63639&hl= Файлы и ссылки переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 Прикрепляю результат сканирования

Addition.txt

FRST.txt

Опубликовано

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:

    Start::
    CreateRestorePoint:
    2019-09-05 13:46 - 2019-09-05 13:46 - 000094720 _____ C:\Users\rdp\AppData\Roaming\E5M99S_payload.exe
    2019-09-04 20:16 - 2019-09-05 13:47 - 000000230 _____ C:\Users\rdp\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
    2019-09-04 20:16 - 2019-09-04 20:16 - 000000230 _____ C:\FILES ENCRYPTED.txt
    2019-09-04 19:44 - 2019-09-04 20:02 - 000000000 ____D C:\Users\rdp\AppData\Roaming\Process Hacker 2
    2019-09-04 19:40 - 2019-09-04 20:14 - 000000000 ____D C:\Users\rdp\Downloads\processhacker-2.39-bin
    swMSM (HKLM-x32\...\{612C34C7-5E90-47D8-9B5C-0F717DD82726}) (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

  • Спасибо (+1) 1
Опубликовано (изменено)

Прикрепил
Про расшифровку стоит забыть? Или есть надежда?

Fixlog.txt

Изменено пользователем Sampti
Опубликовано

Маловероятно.

 

Смените пароли на RDP.

Проверьте уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.19155 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

--------------------------- [ FirewallWindows ] ---------------------------

Брандмауэр Windows (MpsSvc) - Служба работает

Отключен общий профиль Брандмауэра Windows

Отключен частный профиль Брандмауэра Windows

--------------------------- [ OtherUtilities ] ----------------------------

Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления

K-Lite Codec Pack 13.1.0 Full v.13.1.0 Внимание! Скачать обновления

-------------------------------- [ Arch ] ---------------------------------

7-Zip 16.04 (x64) v.16.04 Внимание! Скачать обновления

^Удалите старую версию, скачайте и установите новую.^

--------------------------------- [ P2P ] ---------------------------------

µTorrent v.3.5.4.44498 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.

-------------------------------- [ Java ] ---------------------------------

Java 8 Update 144 (64-bit) v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-x64.exe)^

Java 8 Update 144 v.8.0.1440.1 Внимание! Скачать обновления

^Удалите старую версию и установите новую (jre-8u221-windows-i586.exe)^

--------------------------- [ AdobeProduction ] ---------------------------

Adobe AIR v.25.0.0.134 Внимание! Скачать обновления

Adobe Shockwave Player 12.2 v.12.2.8.198 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

swMSM v.12.0.0.1 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.

 

 

Читайте Рекомендации после удаления вредоносного ПО

  • Спасибо (+1) 1
Опубликовано

После обновления и удаления нежелательных и устаревших программ процесс лечения завершен?

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • st0rk
      Автор st0rk
      Добрый день. Сканировал Kaspersky Virus Removal Tool, нашло и удалило 4 штуки __new__.exe в разных местах Trojan-Ransom.Win32.Cryptor.fs
      Зашифровало все файлы как Имя.[stopper@india.com].wallet
      autologger отчет прилагаю, делал с безопасного режима, обычным способом не входит 
      в архиве по 2 файла - зараженный и нет, может поможет понять как их расшифровать...
      Очень надеюсь на Вашу помощь.
      files.zip
      CollectionLog-2016.12.21-18.16.zip
    • Klimat72
      Автор Klimat72
      Процесс шифровки не был завершен , обнаружен файл видимо шифровальщика - во вложении. Антивирус КИС, теневое копирование находились в отключенном состоянии. Автоматически логи собрать затруднительно, так как по rdp. При сканировании КИС-ом обнаружен троян:
      20.12.2016 10.52.34;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\denied.exe;C:\Users\ksusha\AppData\Roaming\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:52:34
      20.12.2016 10.27.55;Обнаруженный объект (файл) удален.;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;C:\Users\ksusha\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\denied.exe;Trojan-Ransom.Win32.Cryptor.fs;Троянская программа;12/20/2016 10:27:55
       
      Прикрепляю архив с трояном, возможно сможете помочь с расщифровкой.
      FRST.txt 
       
      Спасибо.
    • AlexeyZ
      Автор AlexeyZ
      Приветствую,
      прошу помощи в расшифровке  -1A4B014A.{suri_namika@india.com}.xtbl
      лог в прицепе
       
      с Уважением,
       
      CollectionLog-2016.11.07-13.22.zip
    • Страхов Дмитрий
      Автор Страхов Дмитрий
      Просьба помочь с дешифратором.
       
      FRST.txt
      Addition.txt
    • Mike...
      Автор Mike...
      Ребята выручайте, зашифровался сервер с финансовой программой, предлагаемые касперским утилиты не помогают. Прикрепляю результаты сканирования программой FIRST.
      Addition.txt
      FRST.txt
×
×
  • Создать...